En las políticas, la organización expresan el qué de seguridad para la organización y a través de los procesos, procedimientos y manuales de documentación expresan el cómo se ejecutan las políticas.

Algo importante es que aunque las políticas expresan la posición de la empresa en cuanto a seguridad, son lo suficientemente generales para que cobijen sus lineamientos y se espera que esta posición no cambie permanentemente, si se espera que las políticas sean dinámicas en el sentido que se estudien y evalúen permanentemente para determinar su pertinencia y si es el caso adicionar, modificar o eliminar políticas debido a nuevas necesidades o cambios en el ambiente en el cual se encuentra inmerso la organización.

Los objetivos de una organización al definir sus políticas de seguridad son:

• Informar a los usuarios (de todos los niveles) las normas que se deben cumplir para proteger los recursos informáticos

• Ser una herramienta guía para la auditoría

• Determinar el grado de importancia de los recursos informáticos

• Ser la guía para la implantación de herramientas de seguridad

Políticas de seguridad física

Las políticas de seguridad física son los lineamientos de la empresa sobre todo lo relacionado con el acceso, bienestar y control de los recursos tangibles (“tocables”) dentro de la organización. Se deben tener en cuenta aspectos tales como:

• Acceso a los equipos

• Bloqueo de los equipos

• Detección y protección de incendios

• Corriente estabilizada

• Flujo eléctrico

• Cableado de la red

• Mantenimiento de equipos

• Comidas, bebidas y cigarrillo

• Condiciones ambientales adecuadas

• Identificación de equipos

• Acceso a zonas de almacenamiento de HW y SW

• Protección de la documentación

• Contingencias y respaldo

• Personas

Políticas de seguridad Lógica

Las políticas de seguridad Lógica tiene como objetivo garantizar que todos los equipos de la red, las aplicaciones y los datos solo sean accedidos y en general usados por personal autorizado

Se debe tener en cuenta aspectos relacionados con: cuentas de usuario, passwords, perfiles de usuario, backups, acceso a aplicaciones y bases de datos, sistemas en desarrollo o en mantenimiento, sistemas operativos, actualización de sistemas, puesta en funcionamiento de nuevas aplicaciones, pruebas de seguridad para sistemas operativos, aplicaciones y bases de datos, bitácoras, archivos del sistema, planes de continuidad, entre otros.

Para la creación de las políticas se deben identificar: elementos a proteger (personas, HW, SW, información, documentos), amenazas, personas que accedan la información y sus responsabilidades, niveles de protección requeridos y sitios de acceso.

Al momento de definir las políticas recuerde:

• Una recomendación muy importante es especificarlas claramente y no hacerlas “incumplibles” o “no implantables”.

• No olvide las normas legales: Las políticas de seguridad que se definan al interior de la empresa no pueden ir en contra de las leyes de cada país, por ejemplo: Definir una política de poder ver toda la información que tiene un empleado en el correo electrónico, pues esto podría ir en contra del derecho a privacidad o intimidad del mismo.

• Fecha y versión: Al definir el documento de políticas es importante que siempre se coloquen estos datos porque, como vimos antes, las políticas son dinámicas y es importante saber en cual documento se encuentran las políticas que rigen la seguridad en el momento y no tener inconvenientes de tener empleados que se están rigiendo por un documento viejo o por uno que hasta ahora está en construcción.

Claudia Patricia Santiago Cely
Escuela Colombiana de Ingeniería “Julio Garavito”